Korealaisen haittaohjelmien torjuntayrityksen AhnLabin tutkijat ovat varoitus vanhan koulun hyökkäyksestä, jota he sanovat näkevänsä paljon näinä päivinä, joissa kyberrikolliset arvaavat tiensä Linuxin kuoripalvelimiin ja käyttävät niitä ponnahduspisteinä uusiin hyökkäyksiin, usein viattomia kolmansia osapuolia vastaan.
Tämän muutoin hienostuneen huijarin joukon vapauttamat kuormat voivat paitsi maksaa sinulle rahaa odottamattomien sähkölaskujen kautta, mutta myös pilata maineesi jättämällä tutkivia sormia alavirran uhreilta, jotka osoittavat sinua ja verkkoasi...
…samalla tavalla kuin jos autosi varastetaan ja sitä käytetään sen jälkeen rikokseen, voit odottaa poliisin käynnin ja kutsuvan sinut selittämään ilmeistä yhteyttäsi rikokseen.
(Joillakin lainkäyttöalueilla on itse asiassa tielainsäädäntö, joka estää pysäköityjen autojen jättämisen lukitsematta, mikä estää kuljettajia tekemästä asioita liian helpoksi TWOCereille, jouristelijoille ja muille autokeskeisille rikollisille.)
Turvallinen vain nimellä
Nämä hyökkääjät käyttävät ei kovin salaisia ja ei ollenkaan monimutkaisia temppuja löytääkseen Linuxin shell-palvelimia, jotka hyväksyvät SSH (Secure Shell).
Hyvin suojatut SSH-palvelimet eivät tietenkään salli käyttäjien kirjautua sisään pelkillä salasanoilla, tyypillisesti vaatimalla jonkinlaista vaihtoehtoista tai ylimääräistä kirjautumissuojausta, joka perustuu kryptografisiin avainpareihin tai 2FA-koodeihin.
Mutta palvelimet, jotka on asennettu kiireessä tai käynnistetty valmiissa "käyttövalmiissa" säilöissä tai aktivoitu osana suurempaa, monimutkaisempaa asennusskriptiä taustatyökalulle, joka itse vaatii SSH:ta, voivat käynnistää SSH-palveluita, jotka oletusarvoisesti työskennellyt epävarmaa, sillä oletuksella, että muistat kiristää asioita, kun siirryt testaustilasta live-on-the-internet-tilaan.
Itse asiassa Ahnin tutkijat huomauttivat, että jopa pelkät salasanasanakirjaluettelot näyttävät edelleen antavan käyttökelpoisia tuloksia näille hyökkääjille, ja ne sisältävät vaarallisen ennustettavia esimerkkejä, jotka sisältävät:
root/abcdefghi root/123@abc weblogic/123 rpcuser/rpcuser test/p@ssw0rd nologin/nologin Hadoop/p@ssw0rd
Yhdistelmä nologin/nologin
on muistutus (kuten mikä tahansa tili, jolla on salasana changeme
), että parhaat aikomukset päätyvät usein unohdettuihin tekoihin tai vääriin tuloksiin.
Loppujen lopuksi tili nimeltä nologin
on tarkoitettu itsedokumentoivaksi, kiinnittäen huomion siihen, että se ei ole käytettävissä interaktiivisille kirjautumisille…
…mutta siitä ei ole hyötyä (ja voi jopa johtaa väärään turvallisuuden tunteeseen), jos se on turvallista vain nimellisesti.
Mitä putoaa seuraavaksi?
Näissä tapauksissa valvotut hyökkääjät näyttävät suosivan yhtä tai useampaa kolmesta eri jälkivaikutuksesta, nimittäin:
- Asenna DDoS-hyökkäystyökalu, joka tunnetaan nimellä Tsunami. DDoS tarkoittaa hajautettu palvelunestohyökkäys, joka viittaa tietoverkkorikollisuuden hyökkäykseen, jossa huijarit, jotka hallitsevat tuhansia tai satoja tuhansia vaarantuneita tietokoneita (ja joskus enemmänkin), käskevät heitä ryhtymään ryhmittymään uhrin verkkopalveluun. Aikaa tuhlaavat pyynnöt on kehitetty niin, että ne näyttävät viattomilta yksittäin tarkasteltuna, mutta ne syövät tarkoituksella palvelin- ja verkkoresursseja, jotta lailliset käyttäjät eivät yksinkertaisesti pääse läpi.
- Asenna kryptominointityökalupaketti nimeltä XMRig. Vaikka vilpillinen kryptovaluutan louhinta ei yleensä tuota kyberrikollisille paljon rahaa, lopputulosta on tyypillisesti kolme. Ensinnäkin palvelimillasi on vähentynyt käsittelykapasiteetti lailliseen työhön, kuten SSH-kirjautumispyyntöjen käsittelyyn; toiseksi ylimääräinen sähkönkulutus, esimerkiksi ylimääräisestä käsittely- ja ilmastointikuormituksesta, tulee sinun kustannuksellasi; Kolmanneksi kryptoming-roistot avaavat usein omat takaovet, jotta he pääsevät seuraavan kerran helpommin sisään seuraamaan toimintaansa.
- Asenna zombie-ohjelma nimeltä PerlBot tai ShellBot. Niin sanottu bot or zombie haittaohjelmat ovat helppo tapa tämän päivän tunkeutujille lisäkomentoja vaarantuneille palvelimillesi milloin he haluavat, mukaan lukien lisähaittaohjelmien asentaminen, usein muiden huijarien puolesta, jotka maksavat "käyttömaksun" valitsemansa luvattoman koodin suorittamisesta tietokoneillasi.
Kuten edellä mainittiin, hyökkääjät, jotka pystyvät istuttamaan omia valitsemiaan tiedostoja vaarantuneiden SSH-kirjautumisten kautta, muokkaavat usein myös olemassa olevaa SSH-kokoonpanoasi luodakseen upouuden "suojatun" kirjautumistunnuksen, jota he voivat käyttää takaovena tulevaisuudessa.
Muuttamalla ns valtuutetut julkiset avaimet vuonna .ssh
olemassa olevan (tai äskettäin lisätyn) tilin hakemistoon, rikolliset voivat salaa kutsua itsensä takaisin myöhemmin.
Ironista kyllä, julkiseen avaimeen perustuvaa SSH-kirjautumista pidetään yleensä paljon turvallisempana kuin vanhan koulun salasanapohjaista kirjautumista.
Avainpohjaisissa kirjautumisissa palvelin tallentaa julkisen avaimesi (joka on turvallista jakaa) ja haastaa sinut sitten allekirjoittamaan kertaluonteisen satunnaisen haasteen vastaavalla yksityisellä avaimella joka kerta, kun haluat kirjautua sisään.
Asiakkaan ja palvelimen välillä ei koskaan vaihdeta salasanoja, joten muistissa (tai verkossa) ei ole mitään, mikä voisi vuotaa salasanatietoja, joista olisi hyötyä seuraavalla kerralla.
Tietenkin tämä tarkoittaa, että palvelimen on oltava varovainen verkkotunnistimiksi hyväksymiensä julkisten avainten suhteen, koska vilpillisen julkisen avaimen ovela asentaminen on luja tapa myöntää itselleen pääsy tulevaisuudessa.
Mitä tehdä?
- Älä salli vain salasanaa sisältäviä SSH-kirjautumisia. Voit vaihtaa julkisen yksityisen avaimen todennukseen salasanojen sijasta (hyvä automaattisissa kirjautumisissa, koska kiinteää salasanaa ei tarvita) tai tavallisiin joka kerta -salasanoihin (yksinkertainen mutta tehokas 2FA-muoto).
- Tarkista usein julkiset avaimet, joihin SSH-palvelimesi luottaa automaattisissa kirjautumisissa. Tarkista myös SSH-palvelimesi kokoonpano siltä varalta, että aiemmat hyökkääjät ovat heikentäneet tietoturvaasi vaihtamalla suojatut oletusasetukset heikompiin vaihtoehtoihin. Yleisiä temppuja ovat root-kirjautumisten salliminen suoraan palvelimellesi, ylimääräisten TCP-porttien kuuntelu tai vain salasanalla varustettujen kirjautumisten aktivoiminen, joita et normaalisti sallisi.
- Käytä XDR-työkaluja pitääksesi silmällä toimintaa, jota et odottaisi. Vaikka et suoraan havaitsekaan istutettuja haittaohjelmatiedostoja, kuten Tsunami tai XMRig, näiden kyberuhkien tyypillinen käyttäytyminen on usein helppo havaita, jos tiedät mitä etsiä. Odottamattoman suuret verkkoliikenteen purskeet kohteisiin, joita et tavallisesti näe, voivat esimerkiksi olla merkki tietojen suodattamisesta (tietojen varastaminen) tai tahallisesta DDoS-hyökkäyksen yrityksestä. Jatkuvasti korkea prosessorikuormitus voi olla merkki vilpillisistä kryptominointi- tai kryptokrakoilutoimista, jotka kuluttavat prosessorisi tehoa ja syövät siten sähköäsi.
Huomautukset. Sophos-tuotteet havaitsevat yllä mainitut haittaohjelmat, jotka on listattu IoC:iksi (kompromissin indikaattorit) AhnLabin tutkijat, as Linux/Tsunami-A, Mal/PerlBot-Aja Linux/Miner-EQ, jos haluat tarkistaa lokit.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- EVM Finance. Hajautetun rahoituksen yhtenäinen käyttöliittymä. Pääsy tästä.
- Quantum Media Group. IR/PR vahvistettu. Pääsy tästä.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://nakedsecurity.sophos.com/2023/06/21/beware-bad-passwords-as-attackers-co-opt-linux-servers-into-cybercrime/
- :on
- :On
- :ei
- :missä
- $ YLÖS
- 1
- 15%
- 25
- 2FA
- a
- pystyy
- Meistä
- edellä
- absoluuttinen
- hyväksymisestä
- hyväksyy
- pääsy
- Tili
- poikki
- toimet
- aktivoimalla
- toiminta
- toiminta
- todella
- lisä-
- vastaan
- Kaikki
- sallia
- yksin
- Myös
- vaihtoehto
- vaihtoehdot
- an
- ja
- Kaikki
- näennäinen
- OVAT
- AS
- olettamus
- At
- hyökkäys
- Hyökkäykset
- huomio
- Authentication
- kirjoittaja
- auto
- Automatisoitu
- saatavissa
- takaisin
- Back-end
- takaoven
- Takaportteja
- background-image
- Huono
- perustua
- BE
- koska
- puolesta
- PARAS
- välillä
- Varo
- suurempi
- Setelit
- reunus
- pohja
- merkki
- Brand New
- liiketoiminta
- mutta
- by
- nimeltään
- CAN
- Voi saada
- Koko
- auto
- autot
- tapaus
- tapauksissa
- varovainen
- keskus
- haaste
- haasteet
- muuttuviin
- tarkastaa
- valinta
- asiakas
- koodi
- koodit
- väri
- yhdistelmä
- yhdistelmät
- tulee
- sitoa
- Yhteinen
- monimutkainen
- Vaarantunut
- tietokoneet
- Konfigurointi
- liitäntä
- Liitännät
- harkittu
- kulutus
- Kontit
- ohjaus
- vastaava
- Hinta
- voisi
- Kurssi
- kattaa
- luoda
- Rikollisuus
- rikolliset
- kryptovaluutta
- Kryptournaaminen kaivostoiminta
- salauksen
- tietoverkkorikollisuuden
- verkkorikollisille
- kyberuhat
- tiedot
- päivää
- DDoS
- DDoS hyökkäys
- oletusarvo
- oletusarvot
- toimittaa
- kohteet
- eri
- suoraan
- näyttö
- do
- ei
- Dont
- piirustus
- kuljettajat
- putosi
- kaksi
- Aikaisemmin
- helposti
- helppo
- syödä
- Tehokas
- ponnisteluja
- sähkö
- mahdollistaa
- loppu
- Jopa
- EVER
- Joka
- esimerkki
- Esimerkit
- vaihdetaan
- suodatus
- olemassa
- odottaa
- Selittää
- lisää
- silmä
- tosiasia
- väärä
- Asiakirjat
- löytäminen
- kiinteä
- varten
- muoto
- alkaen
- edelleen
- tulevaisuutta
- yleensä
- saada
- hyvä
- myöntäminen
- Käsittely
- Olla
- korkeus
- Korkea
- toivoa
- liihottaa
- HTTPS
- Sadat
- tunnisteet
- if
- laiton
- in
- sisältää
- Mukaan lukien
- osoittaa
- Erikseen
- tiedot
- asentaminen
- sen sijaan
- aikomukset
- vuorovaikutteinen
- Internet
- tulee
- tutkiva
- kutsu
- kysymys
- IT
- itse
- jpg
- lainkäyttöalueilla
- Pitää
- avain
- avaimet
- Tietää
- tunnettu
- Korean
- myöhemmin
- käynnistettiin
- Lait
- johtaa
- vuotaa
- vähiten
- jättää
- jättäen
- vasemmalle
- laillinen
- pitää
- linux
- lueteltu
- Kuunteleminen
- listaus
- Listat
- kuormitus
- Kirjaudu sisään
- katso
- Erä
- tehdä
- Tekeminen
- haittaohjelmat
- Marginaali
- max-width
- Saattaa..
- välineet
- tarkoitti
- Muisti
- mainitsi
- kaivos-
- tila
- raha
- seurataan
- lisää
- liikkua
- paljon
- nimi
- nimittäin
- Tarve
- tarpeet
- verkko
- verkkoliikenne
- Uusi
- seuraava
- Nro
- normaali
- Normaalisti
- huomattava
- ei mitään
- of
- usein
- on
- ONE
- verkossa
- vain
- avata
- or
- Muut
- muuten
- ulos
- tuloksiin
- yli
- oma
- osa
- osapuolet
- Salasana
- salasanat
- Paavali
- Maksaa
- Suorittaa
- Platon
- Platonin tietotieto
- PlatonData
- pistettä
- sijainti
- Viestejä
- teho
- Ennustettavissa
- yksityinen
- yksityinen avain
- käsittely
- Tuotteemme
- Ohjelma
- julkinen
- julkinen avain
- julkiset avaimet
- satunnainen
- Vähentynyt
- viittaa
- säännöllinen
- suhteellinen
- muistaa
- maine
- pyynnöt
- Vaatii
- Tutkijat
- Esittelymateriaalit
- tulokset
- arviot
- oikein
- tie
- juuri
- ajaa
- turvallista
- sama
- sanoa
- turvallinen
- turvallisuus
- nähdä
- koska
- näyttää
- tunne
- lähetetty
- servers
- palvelu
- Palvelut
- setti
- setup
- Jaa:
- Kuori
- merkki
- Yksinkertainen
- yksinkertaisesti
- Luihu
- So
- vankka
- jonkin verran
- Kaupallinen
- seisoo
- Alkaa
- Yhä
- varastettu
- varastot
- niin
- SVG
- Vaihtaa
- Testaus
- kuin
- että
- -
- heidän
- Niitä
- sitten
- Siellä.
- Nämä
- ne
- asiat
- kolmas
- kolmannet osapuolet
- tätä
- tuhansia
- kolmella
- Kautta
- aika
- että
- tämän päivän
- liian
- työkalu
- työkalupakki
- työkalut
- ylin
- raita
- liikenne
- siirtyminen
- läpinäkyvä
- Tsunami
- tyypillinen
- tyypillisesti
- varten
- Odottamaton
- valloilleen
- URL
- käyttökelpoinen
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttämällä
- kautta
- uhrit
- Vierailla
- haluta
- Tapa..
- HYVIN
- Mitä
- kun
- aina kun
- joka
- KUKA
- leveys
- tulee
- with
- Referenssit
- olisi
- XDR
- Voit
- Sinun
- itse
- zephyrnet